Федеральное министерство юстиции Германии разработало закон, обеспечивающий правовую защиту исследователей безопасности, которые обнаруживают и ответственно сообщают поставщикам об уязвимостях в системе безопасности.
Если исследования в области безопасности проводятся в установленных рамках, то ответственные лица будут освобождены от уголовной ответственности и рисках судебного преследования.
«Те, кто стремится устранить пробелы в ИТ-безопасности, заслуживают признания, а не cуда. С помощью этого законопроекта мы устраним риск уголовной ответственности для людей, взявших на себя эту важную задачу»
- заявил федеральный министр юстиции доктор Марко Бушманн
Кроме того, предлагаемая поправка к уголовному законодательству вводит более строгие наказания за серьезные случаи шпионажа и перехвата данных, особенно если речь идет о критически важных объектах инфраструктуры.
Защита исследователей в области безопасности
Новый законопроект вносит поправки в статью 202a Уголовного кодекса (StGB), чтобы защитить исследователей в области информационной безопасности, компании и так называемых «хакеров» от наказания по компьютерному уголовному праву.
Это касается тех случаев, когда их действия направлены на обнаружение и устранение уязвимости в системе безопасности, если они не считаются «несанкционированными».
Критерии, которым должны соответствовать исследования в области безопасности, следующие:
- Действие должно быть выполнено с целью выявления уязвимости или другого риска безопасности в ИТ-системе.
- Исследователь должен намереваться сообщить о выявленной уязвимости ответственному лицу, способному решить проблему, например оператору системы, разработчику программного обеспечения или Федеральному управлению по информационной безопасности (BSI).
- Действие по получению доступа к системе должно быть необходимым для выявления уязвимости. Это гарантирует, что исключение применяется только в той степени, которая необходима для тестирования безопасности, без ненужного или чрезмерного доступа.
Такое же исключение из уголовной ответственности применяется и к правонарушениям, связанным с перехватом данных и изменением данных, если соответствующие действия считаются санкционированными.
В то же время проект закона предусматривает наказание в виде лишения свободы на срок от трех месяцев до пяти лет за серьезные случаи злонамеренного шпионажа и перехвата данных.
С точки зрения того, что является серьезным случаем, в законопроекте упоминаются следующие случаи:
- Преступление привело к значительному финансовому ущербу.
- Деяние было совершено из корыстных побуждений, в коммерческих масштабах или в составе преступной организации.
- Дела, которые ставят под угрозу критически важную инфраструктуру – больницы, поставщиков энергии или транспортные сети – или влияют на безопасность Германии или одного из ее государств, включая атаки из-за рубежа.
Более подробную информацию о законопроекте и предлагаемых поправках можно найти здесь.
Федеральные земли и заинтересованные ассоциации получили его на рассмотрение, и до 13 декабря 2024 года у них есть время представить свои отзывы, прежде чем он будет передан в Бундестаг для обсуждения в парламенте.
В мае 2022 года Министерство юстиции США объявило о внесении аналогичных изменений в Закон о компьютерном мошенничестве и злоупотреблениях (CFAA), введя исключения из уголовного преследования для «добросовестных» исследователей безопасности.
Наша редакция надеется, что подобный закон будет принят и в России, чтобы «этичные» хакеры смогли поучаствовать в усилении системы безопасности важных инфраструктур страны.
Комментарии (0)